Sécurité des QR Codes : Menaces, Risques et Bonnes Pratiques en 2025

Les QR codes : un vecteur d'attaque sous-estimé

En janvier 2022, le FBI (Internet Crime Complaint Center - IC3) a publié un avertissement officiel : des cybercriminels manipulent des QR codes pour rediriger les victimes vers des sites malveillants, voler leurs identifiants et installer des malwares. Cet avertissement marque un tournant — les QR codes, longtemps considérés comme inoffensifs, sont devenus un vecteur d'attaque de premier plan.

Selon une étude de Abnormal Security (2023), les attaques par QR code (appelées « quishing ») ont augmenté de 427% entre 2022 et 2023. Le BSI (Office fédéral allemand pour la sécurité informatique) a confirmé cette tendance dans son rapport annuel sur la cybersécurité. Pourquoi une telle explosion ? Parce que les QR codes contournent les défenses email traditionnelles : un code QR dans un email est une image, pas un lien cliquable, et échappe donc aux filtres anti-phishing classiques.

Les types d'attaques par QR code

1. Le QRishing (QR Phishing)

Le QRishing combine QR code et phishing. L'attaquant génère un QR code pointant vers un site imitant un service légitime (banque, plateforme de paiement, service cloud). La victime scanne le code, arrive sur un faux site visuellement identique et entre ses identifiants. Selon Proofpoint (2023), 70% des utilisateurs ne vérifient pas l'URL après avoir scanné un QR code — contre 35% pour les liens email classiques.

2. L'overlay physique (QR code collé par-dessus)

L'attaque la plus simple et la plus efficace : coller un faux QR code par-dessus un QR code légitime. En janvier 2022 à Austin, Texas, des autocollants avec de faux QR codes ont été placés sur des horodateurs (parcmètres). Les victimes, croyant payer leur stationnement, étaient redirigées vers un site de phishing qui récupérait leurs informations de carte bancaire. Plus de 100 horodateurs ont été compromis avant la détection par la police d'Austin.

Des attaques similaires ont été signalées sur des tables de restaurants (remplacement du QR code menu), des affiches publicitaires, et même des bornes de recharge de véhicules électriques en Allemagne et au Royaume-Uni.

3. Le quishing par email

Les attaquants envoient des emails contenant un QR code à la place du lien habituel. Le prétexte classique : « Votre authentification multi-facteur a expiré — scannez ce QR code pour la renouveler » ou « Accédez à votre document partagé ». Selon Cofense (2023), Microsoft 365 et SharePoint sont les services les plus imités, représentant 51% des attaques de quishing observées.

4. Les QR codes malveillants dans les espaces publics

Pendant la pandémie de COVID-19, les QR codes se sont multipliés pour les vérifications sanitaires. Des faux QR codes imitant les systèmes de check-in sanitaire ont été placés dans des lieux publics en Australie, Singapour et au Royaume-Uni. Les victimes, habituées à scanner des QR codes sanitaires, ne questionnaient pas la légitimité du code.

Pourquoi les QR codes sont un angle mort de la cybersécurité

Plusieurs facteurs rendent les attaques par QR code particulièrement efficaces :

• Opacité du contenu : contrairement à un lien texte visible, le contenu d'un QR code est invisible à l'œil nu. L'utilisateur doit scanner pour savoir où le code mène.
• Habitude de confiance : après la pandémie, les utilisateurs sont conditionnés à scanner des QR codes sans hésitation dans les restaurants, transports et lieux publics.
• Écran mobile : sur un smartphone, la barre d'adresse est petite et souvent masquée. L'URL de destination est plus difficile à vérifier que sur un ordinateur.
• Contournement des filtres : les solutions de sécurité email analysent les URLs textuelles mais ne décodent pas systématiquement les QR codes intégrés dans les images.
• Contexte physique : un QR code dans un lieu public (restaurant, parking, transport) bénéficie d'une légitimité perçue liée au contexte.

Les chiffres clés de la menace

• 427% d'augmentation des attaques quishing entre 2022-2023 (Abnormal Security)
• 70% des utilisateurs ne vérifient pas l'URL après un scan (Proofpoint)
• 51% des attaques quishing imitent Microsoft 365 (Cofense)
• 22% de tous les emails de phishing en Q4 2023 contenaient un QR code (Hoxhunt)
• 89% des attaques quishing ciblent le vol d'identifiants, 8% le téléchargement de malware (Egress)

10 bonnes pratiques pour se protéger

Pour les utilisateurs

1. Vérifiez toujours l'URL : après avoir scanné un QR code, examinez attentivement l'URL affichée avant de cliquer. Cherchez les fautes d'orthographe, les domaines suspects ou les sous-domaines trompeurs (ex: microsoft-login.attacker.com).
2. Utilisez un scanner QR avec prévisualisation : les applications natives d'iOS (à partir d'iOS 11) et Android (à partir d'Android 9) affichent l'URL avant d'ouvrir le navigateur. N'utilisez pas d'applications tierces inconnues.
3. Inspectez physiquement le QR code : avant de scanner un QR code dans un lieu public, vérifiez qu'il n'y a pas d'autocollant collé par-dessus. Touchez le QR code — un overlay est souvent en relief.
4. Ne scannez pas les QR codes dans les emails : aucune entreprise légitime n'envoie un QR code par email pour la réinitialisation de mot de passe ou la vérification MFA. C'est un signal d'alerte majeur.
5. Activez l'authentification à deux facteurs : même si vos identifiants sont volés via quishing, le MFA bloque l'accès à votre compte.

Pour les entreprises

1. Signez vos QR codes : utilisez un domaine reconnaissable et cohérent. Un restaurant qui utilise « menu.monrestaurant.com » est plus crédible que « bit.ly/3xYz ».
2. Sécurisez physiquement vos QR codes : gravez ou imprimez directement sur le support (pas d'autocollant). Vérifiez régulièrement que vos QR codes n'ont pas été recouverts.
3. Formez vos employés : intégrez les attaques quishing dans vos programmes de sensibilisation à la cybersécurité. Simulez des attaques pour tester la vigilance.
4. Déployez des solutions anti-quishing : des outils comme Abnormal Security, Cofense et Proofpoint proposent désormais la détection de QR codes malveillants dans les emails.
5. Utilisez HTTPS systématiquement : toute URL de destination d'un QR code doit utiliser HTTPS. Un site en HTTP après un scan de QR code est un signal d'alarme.

Le cadre réglementaire et les recommandations officielles

Plusieurs autorités nationales ont publié des recommandations spécifiques :

• FBI (IC3) : avertissement public en janvier 2022 sur les QR codes frauduleux, recommandant de vérifier l'URL et d'éviter les paiements via QR codes non vérifiés.
• BSI (Allemagne) : dans son rapport annuel 2023, le BSI classe le quishing parmi les menaces émergentes et recommande aux organisations de mettre à jour leurs politiques de sécurité email.
• NCSC (Royaume-Uni) : guide pratique pour les entreprises sur la sécurisation des QR codes dans les espaces publics.
• ANSSI (France) : recommandations sur l'authentification forte et la sensibilisation aux nouvelles formes de phishing incluant les QR codes.

L'avenir de la sécurité des QR codes

Plusieurs solutions émergent pour renforcer la sécurité :

• QR codes signés numériquement : des standards comme le SQRC de Denso Wave permettent d'intégrer une signature cryptographique vérifiable dans le QR code.
• Détection automatique par IA : Google et Apple travaillent sur des algorithmes de détection de QR codes malveillants intégrés directement dans les systèmes d'exploitation mobile.
• Standards de sécurité pour les QR codes publics : des initiatives comme le « QR Code Security Framework » proposent des normes de sécurité pour le déploiement de QR codes dans les espaces publics.

La sécurité des QR codes est un sujet en évolution rapide. En adoptant les bonnes pratiques décrites dans cet article, utilisateurs et entreprises peuvent profiter de la commodité des QR codes tout en minimisant les risques. La vigilance reste la première ligne de défense.